35/69 (IT) ประจำวันอังคารที่ 20 มกราคม 2569
นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์จาก Acronis Threat Research Unit (TRU) เปิดเผยการตรวจพบปฏิบัติการจารกรรมไซเบอร์รูปแบบใหม่ ที่อาศัยประเด็นข่าวสารเกี่ยวกับสถานการณ์ทางการเมืองของประเทศเวเนซุเอลาเป็นเหยื่อล่อ เพื่อหลอกให้เจ้าหน้าที่รัฐบาลสหรัฐอเมริกาเปิดไฟล์อันตราย โดยการโจมตีครั้งนี้ไม่ได้ใช้เทคนิคขั้นสูงหรือช่องโหว่ซับซ้อน แต่เลือกใช้วิธีการ social engineering ที่อาศัยความสนใจต่อเหตุการณ์ปัจจุบันเป็นหลัก เพื่อดึงดูดให้เป้าหมายเปิดไฟล์โดยขาดความระมัดระวัง
การโจมตีอาศัยเทคนิค DLL sideloading โดยผู้โจมตีฝังมัลแวร์ไว้ในโปรแกรมที่ดูเหมือนปลอดภัย ในกรณีนี้มีการนำโปรแกรมเล่นเพลงของบริษัท Tencent มาดัดแปลงและเปลี่ยนชื่อเป็น “Maduro to be taken to New York.exe” เมื่อผู้ใช้งานเปิดไฟล์ดังกล่าว ระบบจะโหลดไฟล์ DLL ที่เป็นอันตรายชื่อ “kugou.dll” ขึ้นมาทำงานโดยอัตโนมัติ มัลแวร์ดังกล่าวถูกนักวิจัยตั้งชื่อว่า LOTUSLITE ทำหน้าที่เป็น backdoor เปิดช่องทางให้ผู้โจมตีสามารถเข้าควบคุมระบบจากระยะไกล ไม่ว่าจะเป็นการขโมยข้อมูล จับภาพหน้าจอ หรือสั่งรันคำสั่งต่าง ๆ ได้ นอกจากนี้ มัลแวร์ยังพยายามทำงานโดยปลอมตัวเป็น Googlebot และส่งข้อมูลที่ขโมยได้ไปยังเซิร์ฟเวอร์ควบคุมที่หมายเลข IP 172.81.60.97 ซึ่งตั้งอยู่ในเมืองฟีนิกซ์ รัฐแอริโซนา
นักวิจัยยังพบร่องรอยที่เชื่อมโยงการโจมตีไปยังกลุ่มแฮกเกอร์ Mustang Panda (หรือ HoneyMyte) โดยภายในโค้ดของมัลแวร์มีข้อความแฝงระบุว่าผู้พัฒนาเป็นชาวจีน อีกทั้งลักษณะโค้ดยังแสดงถึงการพัฒนาที่เร่งรีบ ซึ่งสอดคล้องกับรูปแบบการโจมตีที่ต้องการฉวยโอกาสจากข่าวร้อนในช่วงเวลาสั้น ๆ Acronis ประเมินด้วยความเชื่อมั่นในระดับปานกลางว่ากลุ่ม Mustang Panda อยู่เบื้องหลังการโจมตีครั้งนี้มีเป้าหมายหลักด้านการจารกรรมข้อมูลทางการเมืองและยุทธศาสตร์ มากกว่าการแสวงหาผลประโยชน์ทางการเงิน เหตุการณ์ดังกล่าวแสดงให้เห็นว่า แม้เทคนิคจะไม่ซับซ้อน แต่การใช้ข่าวสารและอีเมลธรรมดา ๆ ก็ยังคงเป็นเครื่องมือที่มีประสิทธิภาพในการเจาะระบบและเข้าถึงข้อมูลลับของหน่วยงานรัฐได้
แหล่งข่าว https://hackread.com/mastang-panda-venezuela-news-lotuslite-malware/
